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Fehlende Identifizierung mit der eiektronischen Gesundheitskarte 


Vorbemerkung der Fragesteller 

Die elektronische Gesundheitskarte (eGK) unterscheidet sich äußerlich von der 
herkömmlichen Krankenversicherungskarte (KVK) vor allem durch ein Foto. 
Es soll die Versicherte oder den Versicherten abbilden und deren bzw. dessen 
Identifikation in Arztpraxen, Krankenhäusern etc. ermöglichen. 

Ob das Foto tatsächlich die richtige Person abbildet, ist allerdings bei den im 
Umlauf befindlichen eGK nicht überprüft worden. Von verschiedenen eCard- 
Gegnerinnen und Gegnern ist bekannt, dass ihnen ohne Probleme eGKs mit ab- 
gebildeten Comicfiguren statt Passfotos ausgestellt wurden (www.shz.de/ 
schleswig-holstein/panorama/foto-protest-gegen-die-gesundheitskarte-idl968 
84.html). Im „heute-journal“ wurde demonstriert, dass es möglich ist, ohne be- 
sondere Computerkenntnisse eine eGK mit eigenem Foto auf den Namen eines 
anderen Versicherten zu besorgen (www.heute.de/massive-datenschutzluecke- 
bei-elektronischer-gesundheitskarte-38542206.html). Für die Bundesregierung 
„ist aus den gesetzlichen Regelungen des § 291 SGB V nicht abzuleiten, dass 
die elektronische Gesundheitskarte ein Ausweisdokument wie der Pass oder der 
Personalausweis ist“ (Antwort der Bundesregierung auf die Kleine Anfrage der 
Fraktion DIE LINKE., Bundestagsdrucksache 18/3235). Andererseits beruft sie 
sich auf die Vertragspartner des Bundesmantelvertrags, die festgelegt hätten, 
dass die „Identität des Versicherten zum Zwecke des Nachweises ihres Leis- 
tungsanspruchs nunmehr allein anhand der auf der elektronischen Gesundheits- 
karte aufgebrachten Identitätsdaten einschließlich des Lichtbilds erfolgt“ (siehe 
ebenda). Sie bestätigt zudem, dass die „richtige Zuordnung der Daten der Ge- 
sundheitskarte zum Karteninhaber“ durch die Krankenkassen zu gewährleisten 
ist. 


Vorbemerkung der Bundesregierung 

Es ist das Ziel der Bundesregierung, dass zur Bewältigung der Herausforderungen 
an ein modernes Gesundheitssystem eine für alle Versorgungsbereiche nutzbare 
und sichere Infrastruktur für den Austausch personenbezogener medizinischer 
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Daten aufgebaut wird. Mit der Einführung der elektronischen Gesundheitskarte 
(eGK) und dem Aufbau der Telematikinfrastruktur werden die Grundlagen dafür 
geschaffen, dass medizinische Informationen sicher und schnell zwischen den an 
der Behandlung Beteiligten ausgetauscht werden können. Der Einsatz der eGK 
mit Anwendungen und Zugriffsmöglichkeiten ist gesetzlich geregelt. Daten- 
schutz und Datensicherheit haben höchste Priorität. Die Bundesbeauftragte für 
den Datenschutz und die Informationsfreiheit (BfDI) und das Bundesamt für Si- 
cherheit in der Informationstechnik (BSI) sind eng in die Arbeiten eingebunden. 
Der Aufbau der Telematikinfrastruktur erfolgt schrittweise. Bereits heute trägt 
die elektronische Gesundheitskarte mit Lichtbild durch die Prüfung, ob das Licht- 
bild den Versicherten, der die Leistung in Anspruch nehmen möchte, abbildet, 
dazu bei, die missbräuchliche Inanspruchnahme von GKV-Leistungen zu redu- 
zieren. Im nächsten Schritt werden Online-Strukturen aufgebaut. Die erste On- 
line- An Wendung, der Versichertenstammdatenabgleich, trägt dazu bei, die Aktu- 
alität und die Gültigkeit der eGK zu überprüfen und dadnrch Missbrauch zu re- 
duzieren. In weiteren Schritten werden medizinische Anwendungen eingeführt. 
Ziel ist es, die Qualität der medizinischen Behandlung für die Patientinnen und 
Patienten zu verbessern. 


1 . Inwiefern trifft es nach Kenntnis der Bundesregierung zu, dass die heute im 

Umlauf befindlichen eGKs nicht entsprechend dem Schutzbedarf für Sozial- 
daten beantragt, zugeordnet und ausgegeben wurden? 

a) Inwiefern ist diesbezüglich das Bundesversicherungsamt als Aufsichtsbe- 
hörde der bundesunmittelbaren Krankenkassen aktiv geworden? 

b) Inwiefern ist diesbezüglich die Bundesbeauftragte für den Datenschutz- 
schutz und die Informationsfreiheit nach Kenntnis der Bundesregierung 
aktiv geworden? 

c) Inwiefern halten sich nach Kenntnis der Bundesregierung die Kranken- 
kassen bezüglich der Zuordnung und Ausgabe der eGKs an das Sicher- 
heitskonzept der Gesellschaft für Telematikanwendungen der Gesund- 
heitskarte mbH (gematik)? 

Wer überwacht die Einhaltung der gematik-Spezifizierungen? 

d) Inwiefern ist diesbezüglich das Bundesministerium für Gesundheit aktiv 
geworden? 

Die eGK dient dem Nachweis der Berechtigung zur Inanspruchnahme von Leis- 
tungen im Rahmen der vertragsärztlichen Versorgung sowie der Durchführung 
der Anwendungen nach § 291a Absatz 2 und 3 Lünftes Buch Sozialgesetzbuch - 
SGB V. Die Ausgabe der eGKs an die Versicherten der gesetzlichen Krankenver- 
sicherung obliegt nach § 291 SGB V den Krankenkassen. Diese bestimmen die 
Ausgabeverfahren. Die Identifizierung des Versicherten erfolgt bereits im Rah- 
men der gesetzlichen Meldebestimmungen bei Eintritt in die gesetzliche Kran- 
kenversicherung (§ 5 Absatz 6 der Datenerfassungs- und -Übermittlungsverord- 
nung). Danach sind alle persönlichen Angaben, die an die Träger der Sozialver- 
sicherung gemeldet werden, aus amtlichen Unterlagen zu entnehmen. Damit ist 
eine ausreichende Identifizierung der Pflichtversicherten sichergestellt. § 291 
SGB V enthält keine Verpflichtung zur Identitätsfeststellung des Versicherten bei 
Ausstellung der eGK. Da die eGK kein Ausweisdokument wie der Pass oder Per- 
sonalausweis ist, ist auch keine vergleichbare Identitätsfeststellung des Versi- 
cherten bei der Lichtbildübermittlung vorzunehmen. Auch eine freiwillige Mit- 
gliedschaft kann nur begründet werden, wenn die gesetzlichen Voraussetzungen 
vorliegen, die vom Betroffenen nachzuweisen und von der Krankenkasse zu prü- 
fen sind. 
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Die Krankenkassen werden von den jeweils zuständigen Aufsichtsbehörden des 
Bundes oder der Länder beaufsichtigt. Die Frage der Identitätsüberprüfung bei 
der Lichtbildbeschaffung für das Ausstellen der eGK war bereits im Jahr 2009 
Gegenstand der 74. Arbeitstagung der Aufsichtsbehörden der Sozialversiche- 
rungsträger. Im Ergebnis haben die Aufsichtsbehörden des Bundes und der Län- 
der festgestellt, dass die Krankenkassen kraft ihrer Zuständigkeit entscheiden, 
welches Verfahren der Lichtbildübermittlung sie ihren Versicherten anbieten, 
wobei Gesichtspunkte des Datenschutzes, Kosten- und Nutzenerwägungen und 
die Gefahr des Missbrauchs abzuwägen sind. Nach Kenntnis der Bundesregie- 
rung sehen die Verfahren der Krankenkassen Prüfschritte vor, um zu verhindern, 
dass falsche Lichtbilder übermittelt werden (z. B. Übermittlung personalisierter 
Vordrucke mit Rückantwortkarte, individueller Antragsnummer und Barcode). 
Dem Bundesversicherungsamt sind bezüglich der bundesunmittelbaren Kranken- 
kassen keine Umstände zur Kenntnis gelangt, die auf Unregelmäßigkeiten bei der 
Beantragung, Zuordnung oder Ausgabe der heute im Umlauf befindlichen eGK 
hinweisen. Der Bundesregierung sind keine Verfahren bekannt, in denen die Bun- 
desbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Ver- 
fahren der Krankenkassen beanstandet hat. Auch das Bundesministerium für Ge- 
sundheit ist insofern nicht aktiv geworden. 


2. Inwiefern stimmt die Bundesregierung der Aussage zu, dass jede Weitergabe 
oder Übermittlung von Sozialdaten nach den Bestimmungen des Sozialge- 
setzbuchs oder anderer gesetzlicher Vorschriften nur dann erfolgen darf, 
wenn dies durch die betreffende Person genehmigt wurde? 

3. Inwiefern stimmt die Bundesregierung der Aussage zu, dass es sich bei den 
Daten im Rahmen des geplanten Versichertenstammdatenabgleichs um So- 
zialdaten handelt? 

4. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Genehmi- 
gung durch die betreffende Person nur dann wirksam ist, wenn diese rechts- 
sicher (d. h. entsprechend der Schutzbedarfsklasse für Sozialdaten) identifi- 
ziert wurde? 

Die Fragen 2 bis 4 werden aufgrund des Sachzusammenhangs gemeinsam beant- 
wortet. 

Für das Erheben, Verarbeiten und Nutzen von Sozialdaten durch Sozialleistungs- 
träger und sonstige in § 35 des Ersten Buches Sozialgesetzbuch (SGB I) genannte 
Stellen gelten die Vorgaben des Sozialdatenschutzes im Zweiten Kapitel des 
Zehnten Buches Sozialgesetzbuch (SGB X). 

Der Aussage, dass jede Weitergabe oder Übermittlung von Sozialdaten nach 
Bestimmungen des Sozialgesetzbuchs oder anderer gesetzlicher Vorschriften nur 
dann erfolgen darf, wenn dies durch die betreffende Person genehmigt wurde, 
kann nur eingeschränkt zugestimmt werden, als nach § 67b, § 67d i. V. m. 
§ 69 ff SGB X eine Übermittlung von Sozialdaten ohne Einwilligung der be- 
troffenen Person unter den dort genannten Voraussetzungen oder nach spezialge- 
setzlichen Normen des SGB zulässig ist (zu den spezialgesetzlichen Befugnissen, 
vgl. § 67d Absatz 1 SGB X). Für Krankenkassen sind die Datenerhebungs- und 
-Verarbeitungsbefugnisse in den spezialgesetzlichen Vorschriften des Zehnten 
Kapitels des SGB V geregelt. 

Nach § 284 Absatz 3 SGB V dürfen versichertenbezogene Daten, die von den 
Krankenkassen rechtmäßig erhoben und gespeichert wurden, nur für die Zwecke 
der Aufgaben nach § 284 Absatz 1 SGB V in dem erforderlichen Umfang verar- 
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beitet und damit als Unterfall der Verarbeitung auch übermittelt werden, für an- 
dere Zwecke, soweit dies durch Rechtsvorschriften des Sozialgesetzbuchs ange- 
ordnet oder erlaubt ist. 

Bei den Versichertenstammdaten handelt es sich um (versichertenbezogene) So- 
zialdaten, die von den Krankenkassen nach § 284 Absatz 1 SGB V erhoben wer- 
den. 

Der geplante Versichertenstammdatenabgleich ist in § 291 Absatz 2b SGB V aus- 
drücklich geregelt und damit durch eine gesetzliche Vorschrift des Sozialgesetz- 
buchs erlaubt. Legitimationsgrundlage für die Datenübermittlung ist eine gesetz- 
liche Befugnisnorm; einer Einwilligung des Versicherten bedarf es daher nicht. 


5. Inwiefern stimmt die Bundesregierung der Aussage zu, dass die Ausgabe der 
eGK vor dem Hintergrund der fehlenden Identitätsüberprüfung rechtswidrig 
gewesen ist? 

a) Inwiefern lässt der Auftrag an die Krankenkassen die Ausgabe von eGKs 
überhaupt zu, bei denen die richtige Zuordnung der Daten der Gesund- 
heitskarte zum Karteninhaber nicht erfolgt ist? 

b) Inwiefern trifft die Aussage nach Ansicht der Bundesregierung jedenfalls 
dann zu, wenn ohne Identitätsüberprüfung mittels eGK Online-Anwen- 
dungen durchgeführt werden? 

c) Inwiefern wäre die Krankenkasse nach Auffassung der Bundesregierung 
gegenüber Versicherten, die Erstellung und Übermittlung des Fotos aus 
eigener Tasche bezahlen mussten, schadensersatzpflichtig? 

d) Inwiefern wären die Verantwortlichen bei den gesetzlichen Krankenkas- 
sen nach Auffassung der Bundesregiemng persönlich für die gegebenen- 
falls entstandenen Schäden haftbar zu machen? 

6. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine PIN-Ein- 
gabe zur Autorisiemng der Datenverarbeitung unwirksam ist, wenn die Per- 
son, die den PIN eingibt, nicht sicher (entsprechend der Schutzbedarfsklasse) 
identifiziert ist? 

7. Inwiefern erachtet die Bundesregierung den mit dem E-Health-Gesetz ge- 
planten Online-Stammdatenabgleich mit den derzeit ausgegebenen eGKs als 
datenschutzrechtlich zulässig? 

a) Inwiefern ist der Stammdatenabgleich als unbefugtes Offenbaren von Da- 
ten zu betrachten, solange die bzw. der Versicherte nicht identifiziert ist? 

b) Inwiefern ist nach Kenntnis der Bundesregierung für den Online-Stamm- 
datenabgleich die „richtige Zuordnung der Daten der Gesundheitskarte 
zum Karteninhaber“ unabdingbare Voraussetzung? 

c) Inwiefern haben Versicherte die Möglichkeit, dem Online-Stammdaten- 
abgleich zu widersprechen und die automatische Übermittlung ihrer So- 
zialdaten damit zu untersagen? 

Die Fragen 5, 6 und 7 werden aufgrund des Sachzusammenhangs gemeinsam be- 
antwortet. 

Zur Ausgabe der eGKs siehe Antwort zu Frage 1 . Zur Frage des Online-Stamm- 
datenabgleichs wird auf die Antworten zu den Fragen 2 bis 4 verwiesen. Des 
Weiteren trägt der Online-Stammdatenabgleich dazu bei, die Gültigkeit und Ak- 
tualität der eGK zu überprüfen und dadurch Missbrauch zu reduzieren. 
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Hinsichtlich des PIN-Einsatzes gilt Folgendes: Die PIN wird mit gesonderter Post 
unabhängig von der eGK dem Versicherten übermittelt. Bevor medizinische Da- 
ten auf Wunsch des Versicherten auf bzw. mittels der eGK gespeichert werden, 
muss der Leistungserbringer eine schriftliche Einwilligungserklärung vom Pati- 
enten einholen. Die Einwilligung wird gern. § 291a Absatz 3 Satz 5 SGB V do- 
kumentiert. Eine ordnungsgemäße Dokumentation setzt voraus, dass die Einwil- 
ligung einer bestimmten Person und einer bestimmten eGK zugeordnet werden 
kann. Dies erfordert eine eindeutige Identifizierung der betreffenden Person 
durch den Leistungserbringer. 


8. Inwiefern stimmt die Bundesregierung der Aussage zu, dass eine Strafbarkeit 
wegen unbefugtem Offenbaren von Sozialdaten schon dann gegeben sein 
kann, wenn die Möglichkeit zum Datenzugriff besteht und nicht nur, wenn 
Daten tatsächlich im Einzelfall unbefugt offenbart werden? 

Welche Rechtsnormen kommen hier in Betracht? 

Soweit es um eine Strafbarkeit nach § 203 des Strafgesetzbuches (StGB - Verlet- 
zung von Privatgeheimnissen) geht, zielt die Frage auf die Auslegung des Tatbe- 
standsmerkmals „offenbaren“ ab. Hierzu ist zunächst anzumerken, dass die Aus- 
legung von Gesetzen nicht der Bundesregierung, sondern den unabhängigen Ge- 
richten obliegt. Die Bundesregierung kann deshalb zu der Frage, ob es für die 
Offenbarung auf die tatsächliche Kenntnisnahme durch den Dritten ankommt 
oder ob es ausreicht, wenn der Dritte die Möglichkeit zur Kenntnisnahme erhält, 
nur auf Folgendes verweisen: 

Offenbaren ist die Hinausgabe von Tatsachen aus dem Kreis der Wissenden oder 
der znm Wissen Berufenen, dabei muss dem Empfänger ein Wissen vermittelt 
werden, das dieser bisher noch nicht besaß (Schünemann in Leipziger Kommen- 
tar zum StGB, 13. Aufl., § 203 Rn. 41). Bei mündlichen Mitteilungen kommt es 
auf die tatsächliche Kenntnisnahme an (Lenckner/Eisele in Schönke/Schröder, 
StGB, 29. Aufl., § 203 Rn. 19). Bei verkörperten Geheimnissen kann die Offen- 
barung auch in der Einräumung der Kenntnisnahme bestehen, ohne dass es auf 
die tatsächliche Kenntnisnahme ankommt; wenn etwa das Geheimnis in einem 
Brief verkörpert ist, ist die Offenbarung vollendet, sobald der Brief den Empfän- 
ger erreicht hat (Schünemann, a. a. O. § 203 Rn. 41). Zweifelhaft und im Einzel- 
nen umstritten ist, ob dies auch gilt, wenn dem Dritten der allgemeine Zugang zu 
sehr großen Datenmengen eröffnet wird (vgl. Schünemann, a. a. O. § 203 Rn. 41, 
Fischer, StGB, 61. Aufl., § 203 Rn. 30a, Lenckner/Eisele, a. a. O. § 203 Rn. 19 
jeweils m. w. N.). 


9. Welche Eigenschaften des Versicherten werden durch Nutzung der Zertifi- 
kate der eGK zur Authentisierung gegenüber der Telematikinfrastruktur 
nachgewiesen? 

Aktuell werden über die Zertifikate der eGK keine personenbezogenen Eigen- 
schaften des Versicherten gegenüber der Telematikinfrastruktur nachgewiesen. 

Die Anthentisierung einer eGK (in ihrer Eigenschaft als Versicherungsnachweis) 
gegenüber der Telematikinfrastruktur und deren Anwendungen erfolgt durch den 
Einsatz kartenindividueller kryptografischer Schlüssel der Karte. Die dabei ge- 
nutzten Zertifikate weisen keine Eigenschaften des Versicherten gegenüber der 
Telematikinfrastruktur nach. Bei zukünftigen Anwendungen der Telematikinfra- 
struktur können die Zertifikate als Nachweis dafür dienen, dass die eGK einem 
bestimmten Versicherten eindeutig zugeordnet ist. 
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10. Welches Datenschutzniveau (Level of Assurance, LoA) ist nach Kenntnis 
der Bundesregierung nach dem internationalen Standard ISO/IEC 29115 für 
Sozialdaten vorgesehen? 

a) Welche datenschutzrechtlichen Anforderungen werden in diesem LoA 
gestellt? 

b) Welchen Schutzbedarf bzw. welches Vertrauensniveau haben Sozialdaten 
gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI)? 

c) Welche Anforderungen werden insbesondere an die Registrierung ge- 
stellt? 

d) Welche Anforderungen werden insbesondere an den Nachweis der Iden- 
tität gestellt? 

e) Inwiefern wird die eGK auf Antrag ausgegeben? 

1 1 . Inwiefern wird nach Auffassung der Bundesregierung das LoA für Sozialda- 
ten gemäß internationalem Standard ISO/IEC 29115 bei der Ausgabe der 
eGK eingehalten? 

a) Welcher LoA entsprechen die heute im Umlauf befindlichen eGK nach 
Kenntnis der Bundesregierung? 

b) Welche Stellen übernehmen das Enrolment (Registrierung) von Versi- 
cherten für die eGK als Authentisierungsmittel? 

c) Welchem Vertrauensniveau werden Arbeitgeber zugeordnet? 

d) Welchem Vertrauensniveau werden Versicherte zugeordnet? 

e) Welchem Vertrauensniveau ist die Übermittlung von Daten nach der Da- 
tenerfassung s- und -Übermittlungsverordnung (DEÜV) zuzuordnen? 

f) Welches Vertrauensniveau wird gemäß ISO/IEC 29115 für selbstbestä- 
tigte Identitätsinformationen erzielt? 

g) Auf welchem Vertrauensniveau muss eine Identitätsprüfung gemäß Bun- 
desamt für Sicherheit in der Informationstechnik (BSI) mindestens erfol- 
gen? 

h) Wie muss gemäß Kapitel 10.1 der ISO/IEC 29115 eine Identitätsprüfung 
für das Vertrauensniveau von Sozialdaten durchgeführt werden? 

i) Wie muss gemäß ISO/IEC 29115 die Identität einer Person innerhalb der 
Identitätsprüfung nachgewiesen werden? 

j) Welches Vertrauensniveau kann maximal erreicht werden, wenn einzelne 
Prozessschritte eines Registrierverfahrens unterschiedliche Vertrauensni- 
veaus erfüllen? 

k) Welchem Vertrauensniveau entspricht das derzeitige Verfahren der Kran- 
kenkassen zur Beantragung und Ausgabe der eGKs? 

12. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115 
für eine sichere Telematikinfrastruktur und eGK-Anwendungen nach Ein- 
schätzung der Bundesregierung unabdingbar? 

Die Fragen 10, 11 und 12 werden wegen des Sachzusammenhangs gemeinsam 
beantwortet. 

Der internationale Standard ISO/IEC 29115 hietet ein generisches Rahmen werk 
zur Authentifizierung und spezifiziert dabei vier sog. Level of Assurance (LoA) 
inklusive technischer und organisatorischer Anforderungen, die im jeweiligen 
LoA zu erfüllen sind. 
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Er legt sinnvolle technische und organisatorische Anforderungen an eine elektro- 
nische Identifikation von Entitäten fest. Jedoch sind bei Anwendung des Stan- 
dards auch die bereits etablierten Prozesse sowie der geforderte Schutzbedarf ge- 
mäß Sicherheits- und Datenschutzkonzept zu berücksichtigen. Daher ist eine un- 
mittelbare Übernahme der Anforderungen ohne entsprechende Abwägung nicht 
unbedingt sinnvoll. Zum Schutz der Authentisierungsverfahren und -daten auf 
Kartenprodukten wie der eGK oder dem elektronischen Heilberufsausweis hat 
das BSI bereits ein Schutzprofil (BSI-CC-PP-0082-V2-2014) sowie eine Techni- 
sche Richtlinie (BSI TR-03 144) erstellt, nach denen die Karten zertifiziert werden 
müssen. Die Zertifizierung erfolgt nach Common Criteria (CC). Die CC ist ein 
international anerkannter Bewertungsstandard (ISO/IEC 15408) zur Prüfung und 
Bewertung der Sicherheitseigenschaften von IT-Produkten. 

Somit ist hierfür ein sehr hoher nachweisbarer Schutz gegeben. 

Zum Verfahren der Krankenkassen bei der Ausgabe der eGK an die Versicherten 
wird auf die Antworten zu den Fragen 1 und 5 bis 7 verwiesen. Die eGK wird 
nicht auf Antrag ausgegeben. Benötigt der Versicherte eine Ersatzkarte, so hat er 
die Gründe dafür seiner Krankenkasse mitzuteilen. Im Übrigen gelten, wie bereits 
in den Antworten zu den Fragen 2 bis 4 ausgeführt, für das Erheben, Verarbeiten 
und Nutzen von Sozialdaten die Vorgaben des Sozialdatenschutzes im Zweiten 
Kapitel des SGB X sowie die spezialgesetzlichen Vorschriften des Zehnten Ka- 
pitels des SGB V. 

13. Auf welcher rechtlichen Grundlage vertrat eine Sprecherin des Bundesge- 
sundheitsministeriums die Auffassung, dass auch Ärzte verpflichtet 
seien, die Identität der Versicherten zu überprüfen (www.welt.de/ 
newsticker/ dpa_nt/infoline_nt4)rennpunkte_nt/ article 124506981 fW irbel-um- 
Rechtmaesigkeit-der-Gesundheitskarte.html)? 

a) Wenn, wie die Bundesregierung ausführt, die eGK kein „Ausweisdoku- 
ment wie der Pass oder der Personalausweis“ ist, wie weist der Versi- 
cherte dann rechtsverbindlich seine Identität gegenüber dem Arzt oder 
beim einem anderen Zugriff auf die Telematik-Infrastruktur nach? 

b) Inwiefern kommt alternativ zur Identifizierung mittels der eGK eine Prü- 
fung eines offiziellen Ausweisdokuments in der Arztpraxis infrage? 

14. Inwiefern stimmt die Bundesregierung zu, dass das ganze Konzept der eGK 
sowohl gesetzlich als auch in den Festlegungen der Selbstverwaltung darauf 
ausgelegt ist, dass die Versicherten mit ihr ihre Identität nachweisen? 

15. Inwiefern stimmt die Bundesregierung der Aussage des GKV-Spitzen- 
verbandes zu, dass die eGK als „eingeschränkter Identitätsnachweis“ 
konzipiert ist (www.welt.de/newsticker/dpa_nt/infoline_nt/brennpunkte_nt/ 
articlel24506981/Wirbel-um-Rechtmaessigkeit-der-Gesundheitskarte.html)? 

a) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi- 
tätsnachweis“, dass nur einige Identitätsmerkmale rechtlich bestätigt wer- 
den? 

Falls ja, welche, und welche nicht? 

b) Bedeutet nach Ansicht der Bundesregierung ein „eingeschränkter Identi- 
tätsnachweis“, dass der Nachweis aller Identitätsmerkmale nur einge- 
schränkt möglich ist und dass in Kauf genommen wird, dass die Authen- 
tisierung nicht rechtssicher ist? 
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Die Fragen 13 bis 15 werden wegen des Sachzusammenhangs gemeinsam beant- 
wortet. 

Die Vertragspartner haben im Bundesmantelvertrag Vereinbarungen zur Prüfung 
des Leistungsanspruchs des Versicherten gegenüber der Krankenkasse und Aktu- 
alisierung der Versichertenstammdaten getroffen (Anhang 1 Anlage 4a der Ver- 
einbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte, 
die Bestandteil des Bundesmantelvertrags-Ärzte ist). Die Überprüfung bezieht 
sich auf offensichtliche Unstimmigkeiten zwischen der vorgelegten Karte und der 
Person hinsichtlich des Alters, des Geschlechts und des aufgebrachten Fotos. Der 
Arzt ist verpflichtet, im Falle eines Verdachts auf Missbrauch die zuständige 
Krankenkasse zu informieren und ist berechtigt, die elektronische Gesundheits- 
karte einzuziehen. Im Übrigen wird auf die Vorbemerkung der Bundesregierung 
sowie die Antworten zu den Fragen 1 und 5 bis 7 verwiesen. 


16. Welche Maßnahmen wären nach Ansicht der Bundesregierung geeignet, die 

datenschutzrechtlichen Vorbehalte bei Online- An Wendungen der eGK durch 

die fehlende Identifizierung der Versicherten abzustellen? 

a) Was haben die Selbstverwaltung bzw. die Betreibergesellschaft gematik 
dahingehend unternommen? 

b) Wenn die Einhaltung des gematik-Sicherheitskonzepts Voraussetzung zur 
Zulassung als Kartenherausgeber ist, welche Maßnahmen sind von der 
gematik bei Verstößen gegen das gematik-Sicherheitskonzept vorgese- 
hen? 

c) Was haben die Bundesregierung oder Aufsichtsbehörden des Bundes 
diesbezüglich unternommen? 

d) Wie teuer wird es für die Versichertengemeinschaft werden, wenn die 
Krankenkassen rechtskonform die Identifizierung der Versicherten nach- 
holen, und wer würde diese Kosten tragen? 

e) Welche Identifizierungsverfahren wurden diesbezüglich durch die Selbst- 
verwaltung als geeignet und damit gesetzeskonform eingestuft? 

f) Welche Identifizierungsverfahren werden oder wurden nach Kenntnis der 
Bundesregierung bislang überhaupt angewendet? 

Zu den Ausgabeverfahren der eGK wird auf die Antworten zu den Fragen 1 und 5 
bis 7 verwiesen. Datenschutzrechtliche Vorbehalte bei Online-Anwendungen der 
eGK können demnach nicht bestätigt werden. 


17. Inwiefern sieht die Bundesregierung politischen Handlungsbedarf infolge 
des Urteils des Landessozialgerichts Rheinland-Pfalz (L 5 KR 32/14 NZB 
vom 20. März 2014), demzufolge Krankenkassen Kosten nur erstatten dür- 
fen, soweit es das Gesetz vorsieht (vgl. § 13 Absatz 1 des Fünften Buches 
Sozialgesetzbuch - SGB V) und dieses Fehlen einer Regelung über die Er- 
stattung etwa der Kosten für die Beschaffung des Lichtbildes bedeutet, dass 
diese Kosten von den Versicherten selbst zu tragen sind? 

Wie bewertet die Bundesregierung vor diesem Hintergrund die Praktiken ei- 
niger Krankenkassen, welche die Kosten für das Foto übernommen oder die 
Ablichtung selbst finanziert haben? 

Das SGB V sieht keinen Anspruch auf Erstattung der im Rahmen der Ausstellung 
der eGK anfallenden Kosten des Versicherten vor. Die Bundesregierung sieht hier 
auch keinen politischen Handlungsbedarf, zumal dies in anderen Bereichen auch 
üblich ist (z. B. Personalausweis, Führerschein). Inwieweit die Übernahme der 
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Fotokosten durch einige Krankenkassen als Serviceleistung gegenüber dem Ver- 
sicherten angesehen werden kann, ist von den Aufsichtsbehörden zu beurteilen. 
Hinweise der Aufsichtsbehörden in diesem Zusammenhang sind der Bundesre- 
gierung nicht bekannt. 


18. Welche Schlussfolgerungen zieht die Bundesregierung aus dem Urteil 
des Landessozialgerichts Nordrhein-Westfalen (L 5 KR 594/14 vom 
28. Mai 2015), dass Krankenhäuser keinen Anspruch auf Vorlage einer eGK 
zum Nachweis einer Krankenversicherung haben? 

Die Bundesregierung beabsichtigt nicht, das angeführte Urteil zum Anlass zu 
nehmen, dem Gesetzgeber gesetzliche Änderungen vorzuschlagen. Wie das Lan- 
dessozialgericht zutreffend ausgeführt hat, ist die Versichertenkarte als Versiche- 
rungsnachweis bei stationärer Krankenhausbehandlung nicht vorgesehen: § 15 
Absatz 2 SGB V gilt nur für die ambulante Behandlung. Es ist davon auszugehen, 
dass diese Rechtslage den Krankenhäusern bekannt ist. Damit werden die Kran- 
kenhäuser keinem unzumutbaren Risiko ausgesetzt, dass ihre Behandlungskos- 
ten - etwa bei Ruhen des Leistungsanspruchs des Patienten - nicht erstattet wer- 
den. Ein Krankenhaus kann - insbesondere vor einer geplanten Behandlung - die 
Übernahme seiner Behandlungskosten durch eine entsprechende Kostenübernah- 
meerklärung der betroffenen Krankenkasse sicherstellen. Bei einer Kostenüber- 
nahmeverweigerung durch die Krankenkasse hat das Krankenhaus die Möglich- 
keit, den Patienten selbst zur Übernahme der Kosten zu verpflichten oder aber bei 
seinem finanziellen Unvermögen den Behandlungsfall dem Sozialamt anzuzei- 
gen. 


19. Welche Rückschlüsse zieht die Bundesregierung aus der im gleichen Urteil 
getroffenen Aussage, dass ein ruhender Leistungsanspruch auf der eGK 
durch Krankenkassen nicht als Merkmal aufgebracht werden muss? 

a) Inwiefern ist die/der Versicherte nach Ansicht der Bundesregierung für 
die Krankenhausbehandlung voll zahlungspflichtig, wenn seine Kran- 
kenkasse sich weigert, diese aufgmnd eines mhenden Leistungsanspmchs 
zu erstatten? 

b) Inwiefern darf das Krankenhaus diese Behandlung dem Versicherten in 
Rechnung stellen, wenn nicht im Vorhinein über die voraussichtlich 
entstehenden Kosten aufgeklärt wurde? 

c) Inwiefern stimmt die Bundesregierung vor diesem Hintergmnd der 
Aussage zu, dass die eGK momentan nicht nur für eine sichere Iden- 
tifizierung, sondern sogar als sicherer Nachweis des Versicherungsstatus 
ungeeignet ist? 

Durch den der Krankenhausbehandlung zugrundeliegenden Behandlungsvertrag 
ist die Patientin oder der Patient zur Gewährung der vereinbarten Vergütung ver- 
pflichtet, soweit nicht ein Dritter zur Zahlung verpflichtet ist (siehe § 630a Ab- 
satz 1 des Bürgerlichen Gesetzbuches - BGB). 

Sofern das Krankenhaus bzw. dessen Mitarbeiter wissen, dass eine vollständige 
Übernahme der Behandlungskosten durch einen Dritten nicht gesichert ist, oder 
sofern sich nach den Umständen hierfür hinreichende Anhaltspunkte ergeben, 
müssen die Patientin oder der Patient vor Beginn der Behandlung über die vo- 
raussichtlichen Kosten in Textform informiert werden. Verstößt das Krankenhaus 
gegen diese wirtschaftliche Informationspflicht aus § 630c Absatz 3 BGB pflicht- 
widrig, kann die Patientin oder der Patient dies dem Anspruch des Krankenhauses 
auf Bezahlung der Behandlungskosten entgegenhalten. 
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Im Übrigen wird auf die Antwort zu Frage 18 verwiesen. 


20. Welchen politischen Handlungsbedarf sieht die Bundesregierung angesichts 
des im „heute-journal“ vom 24. Juni 2015 aufgedeckten massiven Daten- 
schutzproblems bei der eGK, und welche diesbezüglichen Maßnahmen sind 
im Entwurf des sogenannten E-Health-Gesetzes berücksichtigt? 

a) Was haben die Bundesregierung oder das Bundesversicherungsamt nach 
dem 24. Juni 2015 diesbezüglich unternommen? 

b) Unter welchen Voraussetzungen dürfen Sozialdaten über telefonische 
Abfragen bei gesetzlichen Krankenkassen zugänglich gemacht werden? 

c) Wer wäre nach Kenntnis der Bundesregierung klageberechtigt, bzw. in- 
wiefern kommt eine Ermittlung von Amts wegen in Betracht? 

d) Was können Versicherte rechtlich unternehmen, wenn ihre Krankenkasse 
ein ähnliches Sicherheitskonzept, wie die AOK Rheinland-Pfalz/Saarland 
im genannten heute-journal-Beitrag, verfolgt? 

e) Kann mittels der im heute-journal-Beitrag beschriebenen Methoden auch 
noch auf Sozialdaten anderer Sozialversicherungsträger zugegriffen wer- 
den? 

f) Was hat die Bundesbeauftragte für den Datenschutzschutz und die Infor- 
mationsfreiheit nach Kenntnis der Bundesregierung diesbezüglich unter- 
nommen? 

21. Inwiefern ist die Einhaltung des internationalen Standards ISO/IEC 29115 
für einen sicheren Zugriff der Versicherten über Online-Geschäftsstellen der 
Krankenkassen nach Kenntnis der Bundesregierung unabdingbar? 

22. Unter welchen Voraussetzungen können GKV- Versicherte datenschutz- 
rechtskonform einen Antrag auf Patientenquittung nach § 305 SGB V per 
Internet- Zugriff stellen? 

a) Unter welchen technologischen und organisatorischen Voraussetzungen 
ist die eGK geeignet, diese Anforderungen zur Identifizierung von Versi- 
cherten zwecks Online-Zugriff auf Sozialdaten, zu erfüllen? 

b) Welche der Aufsicht des Bundes unterstehenden Krankenkassen oder an- 
dere Krankenkassen haben die geltenden Regelungen nach § 36a SGB I 
nach Kenntnis der Bundesregierung umgesetzt und welche nicht? 

c) Welche Krankenkassen haben insbesondere Zugänge nach § 36a SGB I 
mittels eGK realisiert, um eine datenschutzgerechte Kommunikation zwi- 
schen Krankenkassen und Versicherten zu gewährleisten? 

d) Inwiefern sieht die Bundesregierung hier gesetzgeberischen oder auf- 
sichtsbehördlichen Handlungsbedarf? 

Die Fragen 20 bis 22 werden wegen des Sachzusammenhangs gemeinsam beant- 
wortet. 

Krankenkassen, die ihren Versicherten Verfahren für die Anforderung und Ein- 
sichtnahme von Daten über das Internet anbieten, sind nach § 78a SGB X ver- 
pflichtet, bei der Umsetzung durch geeignete organisatorische und technische 
Maßnahmen dafür Sorge zu tragen, dass der Schutz der Sozialdaten der Versi- 
cherten gewahrt wird. 

Zu konkreten Anforderungen, die sich daraus ergeben, wird auf die Antwort der 
Bundesregierung auf die Schriftlichen Fragen 72 bis 74 auf Bundestagsdrucksa- 
che 18/5536 verwiesen. 
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Nach § 82 SGB X in Verbindung mit § 7 des Bundesdatenschutzgesetzes (BDSG) 
kann eine Krankenkasse, die einem Betroffenen durch eine nach diesem Gesetz- 
buch oder nach anderen Vorschriften über den Datenschutz unzulässige oder un- 
richtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Sozi- 
aldaten einen Schaden zufügt, dem Betroffenen zum Schadensersatz verpflichtet 
sein. Dies setzt voraus, dass dem Betroffenen ein Schaden entstanden ist und die 
Krankenkasse die nach den Umständen des Falles gebotene Sorgfalt missachtet 
hat. Der Betroffene kann seinen Schadensersatzanspruch gerichtlich geltend ma- 
chen. In diesem Fall werden die gesetzlichen Voraussetzungen durch das Gericht 
überprüft. 

Darüber hinaus können Versicherte, denen Anhaltspunkte dafür vorliegen, dass 
eine Krankenkasse ein unzureichendes Sicherheitskonzept verfolgt, die zustän- 
dige Aufsichtsbehörde darüber informieren. Die Aufsichtsbehörde ermittelt den 
Sachverhalt von Amts wegen und entscheidet nach pflichtgemäßem Ermessen, 
ob und inwieweit ein aufsichtsrechtliches Einschreiten geboten ist. 

Nach Kenntnis der Bundesregierung ist die BfDI hier nicht tätig geworden. 


23. Welche Kenntnisse hat die Bundesregierung über Patiententerminals, die in 
Apotheken aufgestellt und mit denen nach Einlesen der eGK Daten etwa ei- 
ner ärztlichen Arbeitsunfähigkeitsbescheinigung an die Krankenkassen ge- 
sendet werden sollen (www.apotheke-adhoc.de/nachrichten/nachricht-detail/ 
zur-krankmeldung-in-die-apotheke-degiv-bkk/)? 

a) Wie viele derartige Verträge sind nach Kenntnis der Bundesregierung be- 
reits unterzeichnet worden? 

b) Inwiefern schätzt die Bundesregierung die Übersendung von Sozialdaten 
über derartige Terminals mittels der heute ausgegebenen eGKs als daten- 
schutzrechtlich unbedenklich ein? 

c) Inwiefern sind hier die Datenschutzbeauftragte, das Bundesversiche- 
rungsamt oder das Bundesgesundheitsministerium aktiv geworden? 

Es ist nicht die Aufgabe der Bundesregierung, derartige Projekte im Einzelnen zu 
prüfen und zu bewerten. Der Bundesregierung ist nicht bekannt, dass die BfDI 
hier tätig geworden ist. Dem Bundesversicherungsamt liegen hierzu keine rele- 
vanten Erkenntnisse vor. 


24. Inwiefern war es ein mit der eGK-Einführung verfolgtes Ziel, datenschutz- 
rechtliche Probleme beim Zugriff auf Sozialdaten bei der Krankenversicher- 
tenkarte abzustellen, und inwiefern hat sie das vor dem Hintergrund der be- 
kannten Datenschutzskandale nach Ansicht der Bundesregierung erfüllt? 

Die BfDI hat in der Vergangenheit das Datenschutzniveau der Krankenversicher- 
tenkarte bemängelt, da der Status des Versicherten (fünfstellige Ziffernfolge) auf- 
gedruckt und im Speicherchip unverschlüsselt gespeichert war. Mit der Einfüh- 
rung der eGK sind diese Merkmale nicht mehr sichtbar auf dem Kartenkörper 
aufgedruckt. Mit dem weiteren Aufbau der Telematikinfrastruktur werden da- 
rüber hinaus datenschutzrechtlich sensible Daten im zugriffsgeschützten Teil der 
Versichertenstammdaten nach § 291 Absatz 2 Satz 1 SGB V gespeichert werden 
können und nur noch für Berechtigte lesbar sein. 
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25. Inwiefern soll das Foto nach Kenntnis der Bundesregierung zur Bekämpfung 

von Kartenmissbrauch beitragen? 

a) Welche Zahlen hat die Bundesregierung über das Ausmaß von Karten- 
missbrauch vor Ausgabe der eGKs? 

b) Inwiefern kann Kartenmissbrauch nach Ansicht der Bundesregierung 
überhaupt zuverlässig bekämpft werden, wenn die Identität von abgebil- 
deter Person und Versicherter bzw. Versichertem nicht überprüft wurde? 

c) Welche Daten hat die Bundesregierung, die einen Rückgang von Karten- 
missbrauch nach Ausgabe der eGKs belegen? 

d) Wie hoch sind die Einsparungen für die gesetzliche Krankenversiche- 
rung? 

Die Bundesregierung geht davon aus, dass das Lichtbild auf der elektronischen 
Gesundheitskarte die Leistungserbringer darin unterstützt festzustellen, ob die 
Person, welche die Karte vorlegt, der rechtmäßige Inhaber der eGK ist und ein 
Leistungsanspruch besteht. Damit kann die missbräuchliche Nutzung gestohlener 
oder verlorener Gesundheitskarten sowie die Nutzung einer Gesundheitskarte 
durch mehrere Personen eingeschränkt und damit ein ganz erheblicher Schaden 
zu Lasten der Solidargemeinschaft möglichst vermieden werden. 
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